<!doctype html><html lang dir=ltr><meta charset=utf-8><meta name=viewport content="width=device-width,initial-scale=1"><title>CISP-PTE - 操作系统安全 | Hui.Ke - Blog</title><meta name=generator content="Hugo Eureka 0.9.3"><link rel=stylesheet href=https://b.hui.ke/css/eureka.min.9cec6350e37e534b0338fa9a085bf06855de3b0f2dcf857e792e5e97b07ea905d4d5513db554cbc26a9c3da622bae92d.css><script defer src=https://b.hui.ke/js/eureka.min.fa9a6bf6d7a50bb635b4cca7d2ba5cf3dfb095ae3798773f1328f7950028b48c17d06276594e1b5f244a25a6c969a705.js></script>
<link rel=preconnect href=https://fonts.googleapis.com><link rel=preconnect href=https://fonts.gstatic.com crossorigin><link rel=preload href="https://fonts.googleapis.com/css2?family=Lora:wght@400;600;700&family=Noto+Serif+SC:wght@400;600;700&display=swap" as=style onload='this.onload=null,this.rel="stylesheet"'><link rel=stylesheet href=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/styles/vs.min.css media=print onload='this.media="all",this.onload=null' crossorigin><script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/highlight.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/bash.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/ini.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/json.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/php.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/python.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/shell.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/sql.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/x86asm.min.js crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/gh/highlightjs/cdn-release@11.4.0/build/languages/xml.min.js crossorigin></script>
<link rel=stylesheet href=https://b.hui.ke/css/highlightjs.min.2958991528e43eb6fc9b8c4f2b8e052f79c4010718e1d1e888a777620e9ee63021c2c57ec7417a3108019bb8c41943e6.css media=print onload='this.media="all",this.onload=null'><script defer type=text/javascript src=https://lib.baomitu.com/font-awesome/6.1.1/js/all.min.js></script>
<link rel=stylesheet href=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/katex.min.css integrity=sha384-MlJdn/WNKDGXveldHDdyRP1R4CTHr3FeuDNfhsLPYrq2t0UBkUdK2jyTnXPEK1NQ media=print onload='this.media="all",this.onload=null' crossorigin><script defer src=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/katex.min.js integrity=sha384-VQ8d8WVFw0yHhCk5E8I86oOhv48xLpnDZx5T9GogA/Y84DcCKWXDmSDfn13bzFZY crossorigin></script>
<script defer src=https://cdn.jsdelivr.net/npm/katex@0.15.2/dist/contrib/auto-render.min.js integrity=sha384-+XBljXPPiv+OzfbB3cVmLHf4hdUFHlWNZN5spNQ7rmHTXpd7WvJum6fIACpNNfIR crossorigin></script>
<script>document.addEventListener("DOMContentLoaded",function(){renderMathInElement(document.body,{delimiters:[{left:"$$",right:"$$",display:!0},{left:"$",right:"$",display:!1},{left:"\\(",right:"\\)",display:!1},{left:"\\[",right:"\\]",display:!0}]})})</script><script defer src=https://cdn.jsdelivr.net/npm/mermaid@8.14.0/dist/mermaid.min.js integrity=sha384-atOyb0FxAgN9LyAc6PEf9BjgwLISyansgdH8/VXQH8p2o5vfrRgmGIJ2Sg22L0A0 crossorigin></script>
<link rel=icon type=image/png sizes=32x32 href=https://b.hui.ke/icon_hub7ca0b5404c6d576559b2bd22c64b0e5_2009_32x32_fill_box_center_3.png><link rel=apple-touch-icon sizes=180x180 href=https://b.hui.ke/icon_hub7ca0b5404c6d576559b2bd22c64b0e5_2009_180x180_fill_box_center_3.png><meta name=description content="  本文是 CISP-PTE 认证操作系统安全课程的学习笔记。"><script type=application/ld+json>{"@context":"https://schema.org","@type":"BreadcrumbList","itemListElement":[{"@type":"ListItem","position":1,"name":"Posts","item":"https://b.hui.ke/posts/"},{"@type":"ListItem","position":2,"name":"CISP-PTE - 操作系统安全","item":"https://b.hui.ke/posts/cisp-pte-1/"}]}</script><script type=application/ld+json>{"@context":"https://schema.org","@type":"Article","mainEntityOfPage":{"@type":"WebPage","@id":"https://b.hui.ke/posts/cisp-pte-1/"},"headline":"CISP-PTE - 操作系统安全 | Hui.Ke - Blog","datePublished":"2021-05-10T15:45:59+08:00","dateModified":"2021-05-10T15:45:59+08:00","wordCount":3805,"author":{"@type":"Person","name":"Hui.Ke"},"publisher":{"@type":"Person","name":"Hui.Ke","logo":{"@type":"ImageObject","url":"https://b.hui.ke/icon.png"}},"description":"\u003cp\u003e  本文是 CISP-PTE 认证操作系统安全课程的学习笔记。\u003c\/p\u003e"}</script><meta property="og:title" content="CISP-PTE - 操作系统安全 | Hui.Ke - Blog"><meta property="og:type" content="article"><meta property="og:image" content="https://b.hui.ke/icon.png"><meta property="og:url" content="https://b.hui.ke/posts/cisp-pte-1/"><meta property="og:description" content="  本文是 CISP-PTE 认证操作系统安全课程的学习笔记。"><meta property="og:site_name" content="Hui.Ke - Blog"><meta property="article:published_time" content="2021-05-10T15:45:59+08:00"><meta property="article:modified_time" content="2021-05-10T15:45:59+08:00"><meta property="article:section" content="posts"><meta property="article:tag" content="账户安全"><meta property="article:tag" content="系统安全"><meta property="article:tag" content="日志分析"><meta property="og:see_also" content="https://b.hui.ke/posts/cisp-pte-3/"><meta property="og:see_also" content="https://b.hui.ke/posts/cisp-pte-2/"><script>!function(e){"use strict";!function(){var i,s=window,o=document,a=e,c="".concat("https:"===o.location.protocol?"https://":"http://","sdk.51.la/js-sdk-pro.min.js"),n=o.createElement("script"),r=o.getElementsByTagName("script")[0];n.type="text/javascript",n.setAttribute("charset","UTF-8"),n.async=!0,n.src=c,n.id="LA_COLLECT",a.d=n,i=function(){s.LA.ids.push(a)},s.LA?s.LA.ids&&i():(s.LA=e,s.LA.ids=[],i()),r.parentNode.insertBefore(n,r)}()}({id:"Jgb8aUbG5e3rqhrs",ck:"Jgb8aUbG5e3rqhrs",autoTrack:!0,hashMode:!0})</script><body class="flex min-h-screen flex-col"><header class="min-h-16 pl-scrollbar bg-secondary-bg fixed z-50 flex w-full items-center shadow-sm"><div class="mx-auto w-full max-w-screen-xl"><script>let storageColorScheme=localStorage.getItem("lightDarkMode");((storageColorScheme=="Auto"||storageColorScheme==null)&&window.matchMedia("(prefers-color-scheme: dark)").matches||storageColorScheme=="Dark")&&document.getElementsByTagName("html")[0].classList.add("dark")</script><nav class="flex items-center justify-between flex-wrap px-4 py-4 md:py-0"><a href=/ class="me-6 text-primary-text text-xl font-bold">Hui.Ke - Blog</a>
<button id=navbar-btn class="md:hidden flex items-center px-3 py-2" aria-label="Open Navbar">
<i class="fas fa-bars"></i></button><div id=target class="hidden block md:flex md:grow md:justify-between md:items-center w-full md:w-auto text-primary-text z-20"><div class="md:flex md:h-16 text-sm md:grow pb-4 md:pb-0 border-b md:border-b-0"><a href=/posts/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 selected-menu-item me-4">Posts</a>
<a href=/docs/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Docs</a>
<a href=/categories/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Categories</a>
<a href=/series/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Series</a>
<a href=/tags/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Tags</a>
<a href=/love/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">Love</a>
<a href=/about/ class="block mt-4 md:inline-block md:mt-0 md:h-(16-4px) md:leading-(16-4px) box-border md:border-t-2 md:border-b-2 border-transparent me-4">About</a></div><div class=flex><div class="relative pt-4 md:pt-0"><div class="cursor-pointer hover:text-eureka" id=lightDarkMode><i class="fas fa-adjust"></i></div><div class="fixed hidden inset-0 opacity-0 h-full w-full cursor-default z-30" id=is-open></div><div class="absolute flex flex-col start-0 md:start-auto end-auto md:end-0 hidden bg-secondary-bg w-48 rounded py-2 border border-tertiary-bg cursor-pointer z-40" id=lightDarkOptions><span class="px-4 py-1 hover:text-eureka" name=Light>Light</span>
<span class="px-4 py-1 hover:text-eureka" name=Dark>Dark</span>
<span class="px-4 py-1 hover:text-eureka" name=Auto>Auto</span></div></div></div></div><div class="fixed hidden inset-0 opacity-0 h-full w-full cursor-default z-0" id=is-open-mobile></div></nav><script>let element=document.getElementById("lightDarkMode");storageColorScheme==null||storageColorScheme=="Auto"?document.addEventListener("DOMContentLoaded",()=>{window.matchMedia("(prefers-color-scheme: dark)").addEventListener("change",switchDarkMode)}):storageColorScheme=="Light"?(element.firstElementChild.classList.remove("fa-adjust"),element.firstElementChild.setAttribute("data-icon","sun"),element.firstElementChild.classList.add("fa-sun")):storageColorScheme=="Dark"&&(element.firstElementChild.classList.remove("fa-adjust"),element.firstElementChild.setAttribute("data-icon","moon"),element.firstElementChild.classList.add("fa-moon")),document.addEventListener("DOMContentLoaded",()=>{getcolorscheme(),switchBurger()})</script></div></header><main class="grow pt-16"><div class=pl-scrollbar><div class="mx-auto w-full max-w-screen-xl lg:px-4 xl:px-8"><div class="grid grid-cols-2 gap-4 lg:grid-cols-8 lg:pt-12"><div class="bg-secondary-bg col-span-2 rounded px-6 py-8 lg:col-span-6"><article class=prose><h1 class=mb-4>CISP-PTE - 操作系统安全</h1><div class="text-tertiary-text not-prose mt-2 flex flex-row flex-wrap items-center"><div class="me-6 my-2"><i class="fas fa-calendar me-1"></i>
<span>2021-05-10</span></div><div class="me-6 my-2"><i class="fa-solid fa-pen-to-square me-1"></i>
<span>2021-05-10</span></div><div class="me-6 my-2"><i class="fas fa-clock me-1"></i>
<span>8 min read</span></div><div class="me-6 my-2"><i class="fas fa-folder me-1"></i>
<a href=https://b.hui.ke/categories/it/ class=hover:text-eureka>IT</a></div><div class="me-6 my-2"><i class="fas fa-th-list me-1"></i>
<a href=https://b.hui.ke/series/cisp-pte/ class=hover:text-eureka>CISP-PTE</a></div><div class="me-6 my-2"><i class="fa-solid fa-eye me-1"></i>
<span id=busuanzi_value_page_pv><i class="fa fa-spinner fa-spin"></i></span> Hits</div></div><p>  本文是 CISP-PTE 认证操作系统安全课程的学习笔记。</p><h2 id=linux-安全>Linux 安全</h2><h3 id=系统安全>系统安全</h3><h4 id=账户基本概念>账户基本概念</h4><pre><code class=language-shell>/etc/passwd     # 用户信息文件——存放用户信息
/etc/shadow     # 用户账号影子文件——存放用户密码散列、密码管理信息
/etc/group     # 组文件
/etc/gshadow     # 组影子文件

useradd     # 用户管理
-u     # 指定新建用户的 ID
-c     # 指定新建用户的全称
-d     # 指定新建用户的主目录
-g     # 指定新建用户的主组
-G     # 指定新建用户的附加组
-s     # 指定新建用户的登录 shell
-m     # 强制建立用户的主目录

passwd     # 密码管理
-d     # 删除用户密码
-l     # 锁定指定用户账户
-u     # 解除指定用户账户锁定
-S     # 显示指定用户账户的状态

usermod     # 更改用户信息
-c     # 更改用户的全称
-d     # 更改用户的主目录
-u     # 更改用户的 ID
-g     # 更改用户的主组
-G     # 更改用户的附加组
-s     # 更改用户的登录 shell
-l     # 更改用户的用户名

userdel     # 删除用户（目录）
-r     # 删除用户及其主目录

groupadd     # 创建私人组

groupmod     # 修改组属性

groupdel     # 删除指定组
</code></pre><table><thead><tr><th style=text-align:center>/etc/passwd</th><th style=text-align:center>name</th><th style=text-align:center>coded-passwd</th><th style=text-align:center>UID</th><th style=text-align:center>GID</th><th style=text-align:center>userinfo</th><th style=text-align:center>homedirectory</th><th style=text-align:center>shell</th></tr></thead><tbody><tr><td style=text-align:center>格式</td><td style=text-align:center>用户名</td><td style=text-align:center>密码散列</td><td style=text-align:center>UID</td><td style=text-align:center>GID</td><td style=text-align:center>用户信息</td><td style=text-align:center>用户目录</td><td style=text-align:center>登陆后使用的shell</td></tr><tr><td style=text-align:center>例子</td><td style=text-align:center>demo</td><td style=text-align:center>x</td><td style=text-align:center>523</td><td style=text-align:center>100</td><td style=text-align:center>J.demo</td><td style=text-align:center>/home/demo</td><td style=text-align:center>/bin/sh</td></tr></tbody></table><table><thead><tr><th style=text-align:center>/etc/shadow</th><th style=text-align:center>name</th><th style=text-align:center>passwd</th><th style=text-align:center>lastchg</th><th style=text-align:center>min</th><th style=text-align:center>max</th><th style=text-align:center>warn</th><th style=text-align:center>inactive</th><th style=text-align:center>expire</th><th style=text-align:center>flag</th></tr></thead><tbody><tr><td style=text-align:center>格式</td><td style=text-align:center>用户名</td><td style=text-align:center>密码</td><td style=text-align:center>修改时间</td><td style=text-align:center>最少用几天</td><td style=text-align:center>最多用几天</td><td style=text-align:center>过期前几天提示</td><td style=text-align:center>还有多少天</td><td style=text-align:center>被禁时间</td><td style=text-align:center>保留域</td></tr><tr><td style=text-align:center>例子</td><td style=text-align:center>root</td><td style=text-align:center>$1$acQMceF9</td><td style=text-align:center>13402</td><td style=text-align:center>0</td><td style=text-align:center>99999</td><td style=text-align:center>7</td><td style=text-align:center>:</td><td style=text-align:center>:</td><td style=text-align:center>:</td></tr></tbody></table><table><thead><tr><th style=text-align:center>文件权限</th><th style=text-align:center>类型</th><th style=text-align:center>所有者权限</th><th style=text-align:center>组员权限</th><th style=text-align:center>其它用户权限</th><th style=text-align:center>链接数</th><th style=text-align:center>UID</th><th style=text-align:center>GID</th><th style=text-align:center>大小</th><th style=text-align:center>修改时间</th><th style=text-align:center>文件名</th></tr></thead><tbody><tr><td style=text-align:center>例子</td><td style=text-align:center>d</td><td style=text-align:center>rwx</td><td style=text-align:center>r-x</td><td style=text-align:center>r-x</td><td style=text-align:center>3</td><td style=text-align:center>root</td><td style=text-align:center>root</td><td style=text-align:center>1204</td><td style=text-align:center>Sep 13 11:58</td><td style=text-align:center>test</td></tr></tbody></table><h4 id=账户安全>账户安全</h4><ol><li><p>检查 passwd 和 shadow 清除多余账号</p></li><li><p>特殊保留的系统伪账号锁定登录</p><pre><code class=language-shell>passwd -i &lt;用户名&gt;     # 锁定
passwd -u &lt;用户名&gt;     # 解锁
</code></pre></li><li><p>检查 passwd 中 ID=0 的账号</p></li><li><p>检查空口令账号</p><pre><code class=language-shell>awk -F: ‘( $2== &quot;&quot;) { print $1}' /etc/shadow
</code></pre></li><li><p>设置账号登录失败锁定次数和时间</p><pre><code class=language-shell>vi /etc/pam.d/system-auth
auth required pam_tally.so onerr=fail deny=6 unlock_time=300

vi /etc/pam.d/sshd
auth   required   pam_tally2.so deny=3 unlock_time=120 even_deny_root root_unlock_time=60
</code></pre></li><li><p>设置账号超时自动注销</p><pre><code class=language-shell>vi /etc/profile
TMOUT=600
</code></pre></li><li><p>禁止 root 登录</p></li><li><p>只允许普通用户登陆，通过 su 命令切换到 root</p></li><li><p>不把 root shell 留在终端上</p></li><li><p>不把当前目录（“ . /”）和普通用户的 bin 目录放在 root 账号的环境变量 PATH 中</p></li><li><p>不以 root 运行其他用户或不熟悉的程序</p></li><li><p>口令安全策略</p><pre><code class=language-shell>vi /etc/pam.d/system-auth     # 口令复杂度策略设置
password requisite  pam_cracklib.so     # 修改为：password requisite  pam_cracklib.so try_first_pass retry=3 dcredit=-1 lcredit=-1 ucredit=-1 ocredit=-1 minlen=8
</code></pre></li><li><p>禁止 su 到 root</p><pre><code class=language-shell>vi /etc/pam.d/su     # 增加如下两行
auth    sufficient  pam_rootok.so 
auth    required    pam_wheel.so group=wheel
</code></pre></li></ol><h4 id=系统服务配置>系统服务配置</h4><ol><li>禁止危险的网络服务：telnet、FTP、echo、chargen、shell、finger、NFS、RPC</li><li>关闭非必要的网络服务：talk、ntalk</li><li>确保最新版本</li></ol><h4 id=远程登录安全>远程登录安全</h4><ol><li><p>禁用 telnet，使用 SSH</p></li><li><p>限制登录 IP</p><pre><code class=language-shell>vi /etc/ssh/sshd_config     # 添加或修改如下行
AllowUsers xyz@192.168.1.23     # 允许用户 xyz 通过 192.168.1.23 登录本机
AllowUsers *@192.168.*.*     # 允许 192.168.0.0/16 网段所有用户通过 ssh 访问
</code></pre></li><li><p>禁止 root 远程登录</p><pre><code class=language-shell>cat /etc/ssh/sshd_config     # PermitRootLogin no
</code></pre></li><li><p>限定信任主机，或直接关闭所有R系列远程服务：rlogin、rsh、rexec</p><pre><code class=language-shell>cat /etc/hosts.equiv
cat /$HOME/.rhosts     # 删除不必要的主机
</code></pre></li><li><p>修改 banner</p><pre><code class=language-shell>vi /etc/ssh/sshd_config     # 将 banner 字段设置为 NONE
vi /etc/motd     # 将文件内容更改为自己想要展示的内容
</code></pre></li></ol><h4 id=文件和目录安全>文件和目录安全</h4><ol><li><p>设置文件的属主和属性以进行保护</p><pre><code class=language-shell>chattr +i /etc/passwd     # 极其重要的文件或目录设置为不可改变属性
</code></pre></li><li><p>临时文件不应该有执行权限</p></li><li><p>设置新创建文件的默认权限掩码：使用 umask 命令</p></li><li><p>SUID/SGID 的程序在运行时，将 UID 改变为该程序的 GID，因而可能存在一定的安全隐患</p><pre><code class=language-shell>find / -perm -4000 -user 0 –ls     # 查找 SUID 可执行程序
find / -perm -2000 -user 0 –ls     # 查找 SGID 程序
</code></pre></li></ol><p>/root：root 文件系统是文件系统的顶级目录。它必须包含在挂载其它文件系统前需要用来启动 Linux 系统的全部文件。它必须包含需要用来启动剩余文件系统的全部可执行文件和库。文件系统启动以后，所有其他文件系统作为 root 文件系统的子目录挂载到标准的、预定义好的挂载点上
/bin：目录包含用户的可执行文件
/boot：包含启动 Linux 系统所需要的静态引导程序和内核可执行文件以及配置文件
/dev：包含每一个链接到系统的硬件设备的设备文件，不是驱动，而是计算机上能够访问的设备
/etc：包含主机计算机的本地系统配置文件
/home：主目录存储用户文件，每一个用户都有一个位于 /home 目录中的子目录
/lib：包含启动系统所需要的共享库文件
/opt：可选文件
/sbin：系统二进制文件，用于系统管理的可执行文件
/tmp：临时目录
/var：可变数据文件存储，包括日志文件、mysql 和其他的数据库文件
/usr：包含可共享、只读的文件，包括可执行的二进制文件和库等</p><p>Ext：第一个专门针对 Liunx 的文件系统
Ext2：为解决 Ext 文件系统缺陷设计的高性能、可扩展的文件系统
Ext3：日志文件系统，Ext2 的升级版
Ext4：Ext4 提供了更为可靠性的功能
swap：Linux 的交换分区
NFS：Linux 的网络文件系统
smb：支持 smb 协议的网络文件系统
vfat：与 Windows 系统兼容的 Linux 文件系统
ntfs：Windows NT 所采用的独特的文件系统结构
proc：Linux 操作系统中的一种基于内存的伪文件系统
xfs：由 SGI 开发的一个全 64 位、快速、安全的日志文件系统</p><pre><code class=language-shell>ls     # 查看文件属性
-a     # 列出指定目录下所有的文件和子目录（包括以“.”开头的隐含文件）
-b     # 如果文件或目录名中有不可显示的字符时，显示该字符的八进制值
-c     # 以文件状态信息最后一次更新的时间进行排序
-d     # 如果是目录，则显示目录的属性而不是目录下的内容
-g     # 与 -l 类似，但不显示文件或目录所有者的信息
-G     # 与 -l 类似，但不显示文件或目录所有者的用户组信息
-l     # 使用长格式显示文件或目录的详细属性信息
-n     # 与 -l 类似，但以 UID 和 GID 代替文件或目录所有者和用户组信息
-R     # 以递归方式显示目录下的各级子目录和文件
</code></pre><p>Linux 四种基本文件属性：普通文件、目录文件、链接文件和特殊文件。</p><p>  对于每个新创建的文件和目录，系统会为它们设置默认的访问权限。通过使用 umask 命令可以更改文件或目录的默认权限。</p><p>  在创建文件或目录时，系统会先检查当前设置的 umask 值，然后把默认权限的值与权限掩码值相减，就得到新创建的文件或目录的访问权限。</p><p>  在 Linux 中，每个用户都有自己的 umask 值，所以可以通过为不同安全级别的用户设置不同的 umask 值，来灵活控制用户的默认访问权限。</p><p>  一般常见的做法就是在 .bash_profile 配置文件中设置 umask 值。</p><p>  用户每次登录系统，都必须先读取 .bash_profile 配置文件的内容并执行，所以每次用户登录完成后，新的 umask 值都会立即生效。</p><h4 id=系统日志配置>系统日志配置</h4><pre><code class=language-shell>cat /etc/logrotate.d/syslog     # 检查日志存储空间大小和时间的设置
</code></pre><h4 id=使用安全软件>使用安全软件</h4><h3 id=日志分析>日志分析</h3><h4 id=系统日志分类>系统日志分类</h4><ol><li><p>连接时间日志</p><pre><code class=language-shell>/var/log/wtmp
/var/run/utmp
/var/log/lastlog     # 由多个程序执行，记录用户登录时间
</code></pre></li><li><p>进程统计日志——由系统内核执行，为系统基本服务提供命令使用统计</p></li><li><p>错误日志</p><pre><code class=language-shell>/var/log/messages     # 服务器系统日志，由 syslogd 守护记录，制定注意的事项
/var/log/secure     # 记录系统登录行为
</code></pre></li></ol><p>Access-log：记录 web 服务的访问日志，error-log 是其错误日志
Acct/pacct：记录用户命令
btmp：记录失败记录
lastlog：记录最近几次成功登录的事件和最后一次不成功的登录
messages：服务器的系统日志
Sudolog：记录使用 sudo 发出的命令
Utmp：记录当前登录的每个用户
Wtmp：一个用户每次登录进入和退出时间的永久记录
Secure：记录系统登录行为，比如 ssh 的登录记录</p><h4 id=系统日志审计方法>系统日志审计方法</h4><p>  日志文件应记录尽可能多的信息。</p><p>  日志文件应设置只允许 root 可读的权限。</p><p>  制定日志文件的覆写计划。</p><p>  通过日志文件排除不必要信息，定位重要信息。先实验出错情况，并记录尽可能多的错误信息，再修改脚本文件，使之不再产生不必要信息。</p><h2 id=windows-安全>Windows 安全</h2><h3 id=远程登录鉴别协议>远程登录鉴别协议</h3><p>SMB（Server Message Block）：口令明文传输
LM（LAN Manager）：口令哈希传输，强度低
NTLM（NT LAN Manager）：提高口令散列加密强度、挑战/响应机制
Kerberos：为分布网络提供单一身份验证</p><h3 id=关闭管理共享>关闭管理共享</h3><pre><code class=language-shell>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\LanmanServer\Parameters     # 修改注册表
AutoShareServer
AutoShareWks
</code></pre><h3 id=本地用户组>本地用户组</h3><p>Administrators：该组用户具有对服务器的完全控制权限，并且可以根据需要向用户指派用户权限。
Backup Operators：可以备份和还原服务器上的文件，无需考虑文件的权限，并且不能更改安全设置。
Guests：该组成员拥有一个在登录时创建的临时配置文件，在注销时，该配置文件也被删除。
Envent Log Readers：可以从本地计算机中读取事件日志。
Power Users：该组成员可以创建、修改和删除账户。可以创建本地组，然后在他们已创建的本地用户组中添加或删除用户，也可以在 Power Users、Users 和 Guests 组中添加删除用户。可以创建共享资源并管理所创建的共享资源，不能取得文件的所有权、备份和还原目录、加载或卸载设备驱动程序、或者管理安全性以及日志。
users：该组的成员可以执行一些常见任务，如运行应用程序、使用本地和网络打印机及锁定服务器，用户不能共享目录或创建本地打印机。默认情况下，Domain Users、Authenticated Users、Interactive是该组的成员，所以在域中创建的任何用户账户都成为该组的成员。
Remote Desktop Users：可远程登录服务器。</p><h3 id=复制和移动对文件夹权限的影响>复制和移动对文件夹权限的影响</h3><p>  在 NTFS 分区内和 NTFS 分区之间复制或者移动文件、文件夹时，Windows 系统会将其作为新文件或文件夹，因此，会对源文件或文件夹的 NTFS 权限产生影响。</p><p>  在<strong>复制或移动</strong>文件或文件夹时，必须对<strong>目标文件夹有写入</strong>权限。</p><p>  在<strong>复制</strong>文件或文件夹时，必须对<strong>源文件夹有读取</strong>权限。</p><p>  在<strong>移动</strong>文件或文件夹时，必须对<strong>源文件夹有修改</strong>权限。</p><p>  在<strong>单个 NTFS 分区内</strong>移动文件或文件夹时，该文件或者文件夹<strong>保留其原来的权限</strong>。</p><p>  在 <strong>NTFS 分区之间</strong>移动文件或文件夹时，该文件或文件夹将<strong>继承目的文件夹权限</strong>（当在 NTFS 分区之间移动文件或文件夹时，实际是将文件或文件夹复制到新位置，然后将其从原位置删除）。</p><p>  当将文件或文件夹移动<strong>到非 NTFS 分区</strong>时，因为非 NTFS 分区不支持 NTFS 权限，所以这些文件或文件夹将<strong>丢失其 NTFS 权限</strong>。</p><h3 id=安全日志审核>安全日志审核</h3><p>通过日志审核功能，可以快速检测黑客的渗透和攻击，防止非法用户的再次入侵，主要是通过以下事件策略审核</p><ol><li>对策略的审核</li><li>对登录成功或失败的审核</li><li>对访问对象的审核</li><li>对进程跟踪的审核</li><li>对账户管理的审核</li><li>对特权使用的审核</li><li>对目录服务访问的审核</li></ol></article><div class=my-4><a href=https://b.hui.ke/tags/%E8%B4%A6%E6%88%B7%E5%AE%89%E5%85%A8/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#账户安全</a>
<a href=https://b.hui.ke/tags/%E7%B3%BB%E7%BB%9F%E5%AE%89%E5%85%A8/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#系统安全</a>
<a href=https://b.hui.ke/tags/%E6%97%A5%E5%BF%97%E5%88%86%E6%9E%90/ class="inline-block bg-tertiary-bg text-sm rounded px-3 py-1 my-1 me-2 hover:text-eureka">#日志分析</a></div><div class=py-2><div class="my-8 flex flex-col items-center md:flex-row"><a href=https://b.hui.ke/authors/hui.ke/ class="md:me-4 text-primary-text h-24 w-24"><img src=https://b.hui.ke/bagua.webp class="bg-primary-bg w-full rounded-full" alt=Avatar></a><div class="mt-4 w-full md:mt-0 md:w-auto"><a href=https://b.hui.ke/authors/hui.ke/ class="mb-2 block border-b pb-1 text-lg font-bold"><h3>Hui.Ke</h3></a><span class="block pb-2">❤ Cyber Security | Safety is a priority.</span>
<a href=mailto:3199731997@qq.com class=me-2><i class="fas fa-envelope"></i></a>
<a href="https://wpa.qq.com/msgrd?v=3&uin=3199731997" class=me-2><i class="fab fa-qq"></i></a>
<a href=/images/aixinxianquan.webp class=me-2><i class="fab fa-weixin"></i></a></div></div></div><div class="-mx-2 mt-4 flex flex-col border-t px-2 pt-4 md:flex-row md:justify-between"><div><span class="text-primary-text block font-bold">Previous</span>
<a href=https://b.hui.ke/posts/cisp-pte-2/ class=block>CISP-PTE - Web 安全基础</a></div><div class="mt-4 md:mt-0 md:text-right"><span class="text-primary-text block font-bold">Next</span>
<a href=https://b.hui.ke/posts/comparison-of-iflytek-mice/ class=block>科大讯飞鼠标参数对比</a></div></div><div id=valine-comments class=mt-4></div><script defer src=https://cdn.jsdelivr.net/npm/valine@1.4.16/dist/Valine.min.js integrity=sha384-e0+DNUCJo75aOAzHQbFWYBCM9/S4f0BhRJXvEgbE3mMS85RM20MSSGStHuNdY2QK crossorigin></script>
<script>document.addEventListener("DOMContentLoaded",function(){new Valine({el:"#valine-comments",appId:"BQnVqWIiq78AdqwyhvBVAa3y-MdYXbMMI",appKey:"RKg5By312YjM8rU6WkkfK9IN",recordIP:"true",serverURLs:"https://l.hui.ke",visitor:"true"})})</script></div><div class=col-span-2><div class="bg-secondary-bg prose max-w-none rounded p-6"><h3>Series of Posts</h3><a href=https://b.hui.ke/posts/cisp-pte-3/ class=no-underline>CISP-PTE - Web 安全漏洞</a><br><a href=https://b.hui.ke/posts/cisp-pte-2/ class=no-underline>CISP-PTE - Web 安全基础</a><br><a href=https://b.hui.ke/posts/cisp-pte-1/ class=no-underline>CISP-PTE - 操作系统安全</a><br></div><div class="bg-primary-bg
prose sticky top-16 z-10 hidden px-6 py-4 lg:block"><h3>On This Page</h3></div><div class="sticky-toc hidden px-6 pb-6 lg:block"><nav id=TableOfContents><ul><li><a href=#linux-安全>Linux 安全</a><ul><li><a href=#系统安全>系统安全</a><ul><li><a href=#账户基本概念>账户基本概念</a></li><li><a href=#账户安全>账户安全</a></li><li><a href=#系统服务配置>系统服务配置</a></li><li><a href=#远程登录安全>远程登录安全</a></li><li><a href=#文件和目录安全>文件和目录安全</a></li><li><a href=#系统日志配置>系统日志配置</a></li><li><a href=#使用安全软件>使用安全软件</a></li></ul></li><li><a href=#日志分析>日志分析</a><ul><li><a href=#系统日志分类>系统日志分类</a></li><li><a href=#系统日志审计方法>系统日志审计方法</a></li></ul></li></ul></li><li><a href=#windows-安全>Windows 安全</a><ul><li><a href=#远程登录鉴别协议>远程登录鉴别协议</a></li><li><a href=#关闭管理共享>关闭管理共享</a></li><li><a href=#本地用户组>本地用户组</a></li><li><a href=#复制和移动对文件夹权限的影响>复制和移动对文件夹权限的影响</a></li><li><a href=#安全日志审核>安全日志审核</a></li></ul></li></ul></nav></div><script>window.addEventListener("DOMContentLoaded",()=>{enableStickyToc()})</script></div></div><script>document.addEventListener("DOMContentLoaded",()=>{hljs.highlightAll()})</script></div></div></main><footer class=pl-scrollbar><div class="mx-auto w-full max-w-screen-xl"><div class="text-center p-6 pin-b"><script async src=/js/click.js></script><div id=poem_ip></div><script type=text/javascript>jinrishici.load(function(e){tags.innerHTML=e.data.matchTags})</script><div><span id=timeDate>载入年天数...</span><span id=times>载入时分秒...</span>
<script async src=/js/duration.js></script></div><a href=https://www.foreverblog.cn/go.html target=_blank><img src=https://img.foreverblog.cn/wormhole_4_tp.gif alt style=display:inline-block;width:auto;height:32px title=穿梭虫洞-随机访问十年之约友链博客></a><p class="text-sm text-tertiary-text"><script async src=//busuanzi.ibruce.info/busuanzi/2.3/busuanzi.pure.mini.js></script>本站总访问量 <span id=busuanzi_value_site_pv></span> 次
&#183; 您是本站的第 <span id=busuanzi_value_site_uv></span> 个小伙伴</p><script async src=/js/tab.js></script></div></div></footer></body></html>